ACBM - Le Virus Informatique qui vous défend !Retour à l'accueilLes brèvesLe magasinContacts Ecrire dans le virusListe de diffusionPetites annoncesLes concours



Paru dans Le Virus Informatique n°25
2004-02-01 00:00

Attention, fichiers ZIP: danger !



« Le sous-titre d'un film contient un virus ». Tel est le titre du communiqué alarmiste publié fin octobre par l’antivirus BitDefender. Sceptique, on se demande comment un fichier texte pourrait être contaminé. En lisant plus loin, on apprend, qu’en fait, ce serait le fichier ZIP censé contenir ces sous-titres d’un DIVX qui serait vérolé.

On reste toujours aussi sceptique, car un fichier ZIP n’est pas exécutable. On pense donc d’abord à un fichier muni d’une double extension .ZIP.EXE, invisible si le système est mal configuré. S’agirait-il d’un fichier EXE compressé? Mais le communiqué ajoute « Le fichier ZIP a été arrangé de manière à ce que la plupart des antivirus ne détecte pas le fichier en tant qu'exécutable ». Pourtant la plupart des antivirus décompressent à la volée les ZIP pour les analyser. Alors quoi? Les techniciens de BitDefender ont joué la transparence, c’est assez rare dans le milieu pour être signalé.

Où est le problème?

Une archive ZIP est découpée en deux parties. La première contient les informations sur chaque fichier archivé (nom, taille, etc.) ainsi que ses données compressées. La seconde récapitule les informations de ces fichiers archivés, ce qui permet d’en faire l'inventaire et d’y accéder plus rapidement. À la suite d’une erreur d’encodage ou d'une malveillance, il est possible que le nom du fichier réellement compacté et celui qui apparaît dans le récapitulatif ne soient pas le même. Ainsi un « AnnaKournikova.jpg » affiché dans l’interface de votre logiciel pourrait pointer, en fait, vers
« Ohlebeauvirus.exe ». Et, en double-cliquant dessus, au lieu de lancer votre visionneuse d’images automatiquement après décompactage, vous exécuteriez un code viral! Des logiciels comme Stuffit Expander 7.0 ou Winrar 3.0 se laissent piéger. Par contre, Zip Magic 1, Winzip 8.1, Winace 2.04 et Winrar 3.2 n’ont pas tenu compte du nom modifié.
Bien sûr, les techniciens de BitDefender ont adapté leur produit en conséquence. Pour ceux qui n’utiliseraient pas d’antivirus, vous trouverez un
programme minimaliste (n’hésitez pas à l’améliorer sous licence GPL) en C qui permet de détecter les ZIP trafiqués. Après l'avoir recopié et compilé, il vous suffira de taper « scanzip [Nom du zip à tester] », pour être sûr de pouvoir décompresser une archive en toute tranquillité. Le second fichier est une archive ZIP exploitant la faille. Bien évidemment, il est parfaitement inoffensif. En fonction du nom de fichier qui apparaîtra après décompactage, vous saurez si votre logiciel est sûr ou non. N’hésitez pas à nous communiquer le résultat!



Logiciels avec cette faille : WinRar 2.70, UltimateZip 2.7.1, UnZip 5.50 (Debian), Stuffit Expander 7.0, Winrar 3.0, Izarc 3.4
Logiciels sans cette faille : ZipMagic 1.0, PowerArchiver 8.6, 7zip, Winzip 8.1, Winace 2.04, Winrar 3.2, Pkunzip 2.50 DOS
(Merci aux personnes qui nous ont transmis leurs résultats !)

Saint Emilion


Vous aimez cette page ? Partagez-en le lien sur les réseaux sociaux !

Facebook
Twitter
Google+
LinkedIn

Vous pouvez aussi recopier librement son contenu ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Creative Commons License

Retour aux archives
Retour à l'accueil
[RSS]
Legal & cookies